التحضير لمزامنة الدليل إلى Microsoft 365

تنطبق هذه المقالة على كل من Microsoft 365 Enterprise و Office 365 Enterprise.

إذا اخترت نموذج الهوية المختلطة وقمت بتكوين الحماية لحسابات المسؤولين في الخطوة 2 وحسابات المستخدمين في الخطوة 3 من هذا الحل، فإن مهمتك التالية هي نشر مزامنة الدليل. تتضمن فوائد مزامنة الدليل لمؤسستك ما يلي:

  • تقليل البرامج الإدارية في مؤسستك
  • تمكين سيناريو تسجيل الدخول الأحادي اختياريا
  • أتمتة تغييرات الحساب في Microsoft 365

لمزيد من المعلومات حول مزايا استخدام مزامنة الدليل، راجع الهوية المختلطة مع Azure Active Directory (Azure AD).

ومع ذلك، تتطلب مزامنة الدليل التخطيط والتحضير لضمان مزامنة خدمات مجال Active Directory (AD DS) مع مستأجر Azure AD لاشتراكك في Microsoft 365 بأقل عدد من الأخطاء.

اتبع هذه الخطوات للحصول على أفضل النتائج.

ملاحظة

لا تتم مزامنة الأحرف غير الخاصة ب ASCII لأي سمات على حساب مستخدم AD DS.

إعداد AD DS

للمساعدة في ضمان انتقال سلس إلى Microsoft 365 باستخدام المزامنة، يجب إعداد غابة AD DS قبل بدء نشر مزامنة الدليل Microsoft 365.

يجب أن يركز إعداد الدليل على المهام التالية:

  • إزالة سمات proxyAddress و userPrincipalName المكررة.

  • تحديث سمات userPrincipalName الفارغة وغير الصالحة باستخدام سمات userPrincipalName صالحة.

  • قم بإزالة الأحرف غير الصالحة والمشكوك فيها في سمات givenName وsalname ( sn ) وsAMAccountName و displayName وsese و proxyAddresses و mailNickname و userPrincipalName . للحصول على تفاصيل حول إعداد السمات، راجع قائمة السمات التي تتم مزامنتها بواسطة أداة مزامنة Azure Active Directory.

    ملاحظة

    هذه هي نفس السمات التي يقوم Azure AD الاتصال مزامنتها.

اعتبارات النشر متعددة الغابات

بالنسبة إلى الغابات المتعددة وخيارات تسجيل الدخول الأحادي، استخدم تثبيتا مخصصا الاتصال Azure AD.

إذا كانت مؤسستك تحتوي على غابات متعددة للمصادقة (غابات تسجيل الدخول)، نوصي بشدة بما يلي:

  • ضع في اعتبارك دمج غاباتك. بشكل عام، هناك المزيد من النفقات العامة المطلوبة للحفاظ على غابات متعددة. ما لم يكن لدى مؤسستك قيود أمان تفرض الحاجة إلى غابات منفصلة، ففكر في تبسيط بيئتك المحلية.
  • استخدم فقط في غابة تسجيل الدخول الأساسية. ضع في اعتبارك نشر Microsoft 365 فقط في غابة تسجيل الدخول الأساسية للإطلاق الأولي Microsoft 365.

إذا لم تتمكن من دمج نشر AD DS متعدد الغابات أو كنت تستخدم خدمات دليل أخرى لإدارة الهويات، فقد تتمكن من مزامنتها بمساعدة Microsoft أو شريك.

راجع طبولوجيا Azure AD الاتصال لمزيد من المعلومات.

الميزات التي تعتمد على مزامنة الدليل

مزامنة الدليل مطلوبة للميزات والوظائف التالية:

  • Sign-On أحادية سلسة ل Azure AD (SSO)
  • تعايش Skype
  • Exchange التوزيع المختلط، بما في ذلك:
    • قائمة العناوين العمومية المشتركة بالكامل (GAL) بين البيئة Exchange المحلية Microsoft 365.
    • مزامنة معلومات GAL من أنظمة بريد مختلفة.
    • القدرة على إضافة مستخدمين إلى عروض خدمة Microsoft 365 وإزالتها منها. يتطلب ذلك ما يلي:
    • يجب تكوين المزامنة ثنائية الاتجاه أثناء إعداد مزامنة الدليل. بشكل افتراضي، تكتب أدوات مزامنة الدليل معلومات الدليل إلى السحابة فقط. عند تكوين المزامنة ثنائية الاتجاه، يمكنك تمكين وظيفة إعادة الكتابة بحيث يتم نسخ عدد محدود من سمات الكائن من السحابة، ثم كتابتها مرة أخرى إلى AD DS المحلي. يشار إلى إعادة الكتابة أيضا باسم الوضع المختلط Exchange.
    • توزيع مختلط Exchange محلي
    • القدرة على نقل بعض علب بريد المستخدمين إلى Microsoft 365 مع الاحتفاظ بعلب بريد المستخدمين الأخرى محليا.
    • خزينة يتم نسخ المرسلين والمرسلين المحظورين محليا إلى Microsoft 365.
    • وظائف التفويض والإرسال الأساسية نيابة عن البريد الإلكتروني.
    • لديك بطاقة ذكية محلية متكاملة أو حل مصادقة متعددة العوامل.
  • مزامنة الصور والصور المصغرة وقاعات المؤتمرات ومجموعات الأمان

1. مهام تنظيف الدليل

قبل مزامنة AD DS إلى مستأجر Azure AD، تحتاج إلى تنظيف AD DS.

هام

إذا لم تقم بإجراء تنظيف AD DS قبل المزامنة، فقد يؤدي ذلك إلى تأثير سلبي كبير على عملية النشر. قد يستغرق الأمر أياما أو حتى أسابيع للانتقال إلى دورة مزامنة الدليل وتحديد الأخطاء وإعادة المزامنة.

في AD DS، أكمل مهام التنظيف التالية لكل حساب مستخدم سيتم تعيين ترخيص Microsoft 365 له:

  1. تأكد من وجود عنوان بريد إلكتروني صالح وفريد في سمة proxyAddresses .

  2. إزالة أي قيم مكررة في سمة proxyAddresses .

  3. إذا كان ذلك ممكنا، فتأكد من وجود قيمة صحيحة وفريدة للسمة userPrincipalName في كائن المستخدم الخاص بالمستخدم . للحصول على أفضل تجربة مزامنة، تأكد من أن AD DS UPN يطابق AZURE AD UPN. إذا لم يكن لدى المستخدم قيمة للسمة userPrincipalName ، فيجب أن يحتوي كائن المستخدم على قيمة صحيحة وفريدة للسمة sAMAccountName . إزالة أي قيم مكررة في سمة userPrincipalName .

  4. للاستخدام الأمثل لقائمة العناوين العمومية (GAL)، تأكد من صحة المعلومات الموجودة في السمات التالية لحساب مستخدم AD DS:

    • اسم معين
    • اللقب
    • العرض
    • المسمى الوظيفي
    • اداره
    • Office
    • Office الهاتف
    • الهاتف الجوال
    • رقم الفاكس
    • عنوان الشارع
    • المدينه
    • الولاية أو المقاطعة
    • الرمز البريدي أو البريدي
    • البلد أو المنطقة

2. عنصر الدليل وإعداد السمة

تتطلب مزامنة الدليل الناجحة بين AD DS و Microsoft 365 إعداد سمات AD DS بشكل صحيح. على سبيل المثال، تحتاج إلى التأكد من عدم استخدام أحرف معينة في سمات معينة تتم مزامنتها مع بيئة Microsoft 365. لا تتسبب الأحرف غير المتوقعة في فشل مزامنة الدليل ولكنها قد ترجع تحذيرا. ستؤدي الأحرف غير الصالحة إلى فشل مزامنة الدليل.

ستفشل مزامنة الدليل أيضا إذا كان لدى بعض مستخدمي AD DS سمة واحدة أو أكثر من السمات المكررة. يجب أن يكون لكل مستخدم سمات فريدة.

يتم سرد السمات التي تحتاج إلى إعدادها هنا:

  • العرض

    • إذا كانت السمة موجودة في كائن المستخدم، فستتم مزامنتها مع Microsoft 365.
    • إذا كانت هذه السمة موجودة في كائن المستخدم، فيجب أن تكون هناك قيمة لها. أي يجب ألا تكون السمة فارغة.
    • الحد الأقصى لعدد الأحرف: 256
  • اسم معين

    • إذا كانت السمة موجودة في كائن المستخدم، فستتم مزامنتها مع Microsoft 365، ولكن Microsoft 365 لا يتطلبها أو يستخدمها.
    • الحد الأقصى لعدد الأحرف: 64
  • البريد

    • يجب أن تكون قيمة السمة فريدة داخل الدليل.

      ملاحظة

      إذا كانت هناك قيم مكررة، تتم مزامنة المستخدم الأول الذي له القيمة. لن يظهر المستخدمون اللاحقون في Microsoft 365. يجب تعديل القيمة الموجودة في Microsoft 365 أو تعديل كلتا القيمتين في AD DS لكي يظهر كلا المستخدمين في Microsoft 365.

  • mailNickname (اسم مستعار Exchange)

    • لا يمكن أن تبدأ قيمة السمة بنقطة (.).

    • يجب أن تكون قيمة السمة فريدة داخل الدليل.

      ملاحظة

      يشير تسطير السطر ("_") في الاسم المتزامن إلى أن القيمة الأصلية لهذه السمة تحتوي على أحرف غير صالحة. لمزيد من المعلومات حول هذه السمة، راجع سمة الاسم المستعار Exchange.

  • Proxyaddresses

    • سمة متعددة القيم

    • الحد الأقصى لعدد الأحرف لكل قيمة: 256

    • يجب ألا تحتوي قيمة السمة على مسافة.

    • يجب أن تكون قيمة السمة فريدة داخل الدليل.

    • الأحرف غير الصالحة: < > ( ) ; , [ ] "

    • الأحرف ذات العلامات القسمية، مثل الأحرف المائلة والتلكينات والتلدة، هي أحرف غير صالحة.

      لاحظ أن الأحرف غير الصالحة تنطبق على الأحرف التي تلي محدد النوع و":"، بحيث يسمح SMTP:User@contso.com، ولكن SMTP:user:M@contoso.com غير مسموح بها.

      هام

      يجب أن تتوافق جميع عناوين بروتوكول نقل البريد البسيط (SMTP) مع معايير مراسلة البريد الإلكتروني. إزالة العناوين المكررة أو غير المرغوب فيها إذا كانت موجودة.

  • sAMAccountName

    • الحد الأقصى لعدد الأحرف: 20
    • يجب أن تكون قيمة السمة فريدة داخل الدليل.
    • الأحرف غير الصالحة: [ \ " | , / : < > + = ; ? * ']
    • إذا كان لدى المستخدم سمة sAMAccountName غير صحيحة ولكن لديه سمة userPrincipalName صالحة، يتم إنشاء حساب المستخدم في Microsoft 365.
    • إذا كان كل من sAMAccountName وuserPrincipalName غير صحيحين، يجب تحديث السمة AD DS userPrincipalName .
  • sn (surname)

    • إذا كانت السمة موجودة في كائن المستخدم، فستتم مزامنتها مع Microsoft 365، ولكن Microsoft 365 لا يتطلبها أو يستخدمها.
  • Targetaddress

    من المطلوب أن تظهر السمة targetAddress (على سبيل المثال، SMTP:tom@contoso.com) التي تم ملؤها للمستخدم في Microsoft 365 GAL. في سيناريوهات ترحيل المراسلة لجهة خارجية، قد يتطلب ذلك ملحق مخطط Microsoft 365 ل AD DS. سيضيف ملحق المخطط Microsoft 365 أيضا سمات مفيدة أخرى لإدارة Microsoft 365 الكائنات التي يتم ملؤها باستخدام أداة مزامنة الدليل من AD DS. على سبيل المثال، ستتم إضافة السمة msExchHideFromAddressLists لإدارة علب البريد المخفية أو مجموعات التوزيع.

    • الحد الأقصى لعدد الأحرف: 256
    • يجب ألا تحتوي قيمة السمة على مسافة.
    • يجب أن تكون قيمة السمة فريدة داخل الدليل.
    • الأحرف غير الصالحة: \ < > ( ) ; , [ ] "
    • يجب أن تتوافق جميع عناوين بروتوكول نقل البريد البسيط (SMTP) مع معايير مراسلة البريد الإلكتروني.
  • userPrincipalName

    • يجب أن تكون سمة userPrincipalName بتنسيق تسجيل الدخول بنمط إنترنت حيث يتبع اسم المستخدم علامة (@) واسم المجال: على سبيل المثال، user@contoso.com. يجب أن تتوافق جميع عناوين بروتوكول نقل البريد البسيط (SMTP) مع معايير مراسلة البريد الإلكتروني.
    • الحد الأقصى لعدد الأحرف للسمة userPrincipalName هو 113. يسمح بعدد معين من الأحرف قبل علامة (@) وبعدها، كما يلي:
    • الحد الأقصى لعدد الأحرف لاسم المستخدم الموجود أمام علامة (@): 64
    • الحد الأقصى لعدد الأحرف لاسم المجال بعد علامة (@): 48
    • الأحرف غير الصالحة: \ ٪ & * + / = ؟ { } | < > ( ) ; : , [ ] "
    • الأحرف المسموح بها: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • الأحرف ذات العلامات القسمية، مثل الأحرف المائلة والتلكينات والتلدة، هي أحرف غير صالحة.
    • الحرف @ مطلوب في كل قيمة userPrincipalName .
    • لا يمكن أن يكون الحرف @ الحرف الأول في كل قيمة userPrincipalName .
    • لا يمكن أن ينتهي اسم المستخدم بنقطة (.) أو علامة العطف (&أو مسافة أو علامة (@).
    • لا يمكن أن يحتوي اسم المستخدم على أي مسافات.
    • يجب استخدام المجالات القابلة للتوجيه؛ على سبيل المثال، لا يمكن استخدام المجالات المحلية أو الداخلية.
    • يتم تحويل Unicode إلى أحرف تسطير أسفل السطر.
    • لا يمكن أن يحتوي userPrincipalName على أي قيم مكررة في الدليل.

3. إعداد سمة userPrincipalName

تم تصميم Active Directory للسماح للمستخدمين النهائيين في مؤسستك بتسجيل الدخول إلى الدليل باستخدام إما sAMAccountName أو userPrincipalName. وبالمثل، يمكن للمستخدمين النهائيين تسجيل الدخول إلى Microsoft 365 باستخدام اسم المستخدم الأساسي (UPN) لحساب العمل أو المؤسسة التعليمية. تحاول مزامنة الدليل إنشاء مستخدمين جدد في Azure Active Directory باستخدام نفس UPN الموجود في AD DS. يتم تنسيق UPN كعنوان بريد إلكتروني.

في Microsoft 365، UPN هي السمة الافتراضية المستخدمة لإنشاء عنوان البريد الإلكتروني. من السهل الحصول على userPrincipalName (في AD DS وفي Azure AD) وتعيين عنوان البريد الإلكتروني الأساسي في proxyAddresses إلى قيم مختلفة. عند تعيينها إلى قيم مختلفة، قد يكون هناك ارتباك للمسؤولين والمستخدمين النهائيين.

من الأفضل محاذاة هذه السمات لتقليل الارتباك. لتلبية متطلبات تسجيل الدخول الأحادي باستخدام خدمات الأمان المشترك لـ Active Directory (AD FS) 2.0، تحتاج إلى التأكد من تطابق UPNs في Azure Active Directory و AD DS واستخدام مساحة اسم مجال صالحة.

4. إضافة لاحقة UPN بديلة إلى AD DS

قد تحتاج إلى إضافة لاحقة UPN بديلة لربط بيانات اعتماد الشركة الخاصة بالمستخدم ببيئة Microsoft 365. لاحقة UPN هي جزء من UPN إلى يمين الحرف @. يمكن أن تحتوي UPNs المستخدمة لتسجيل الدخول الأحادي على أحرف وأرقام وفترات وشرطات وشرطات سفلية، ولكن لا تحتوي على أنواع أخرى من الأحرف.

لمزيد من المعلومات حول كيفية إضافة لاحقة UPN بديلة إلى Active Directory، راجع التحضير لمزامنة الدليل.

5. مطابقة AD DS UPN مع UPN Microsoft 365

إذا قمت بإعداد مزامنة الدليل بالفعل، فقد لا يتطابق UPN الخاص بالمستخدم Microsoft 365 مع AD DS UPN الخاص بالمستخدم المعرف في AD DS. قد يحدث هذا الأمر عند تعيين ترخيص لمستخدم قبل التحقق من المجال. لإصلاح ذلك، استخدم PowerShell لإصلاح UPN المكرر لتحديث UPN الخاص بالمستخدم للتأكد من أن Microsoft 365 UPN يطابق اسم المستخدم والمجال الخاص بالشركة. إذا كنت تقوم بتحديث UPN في AD DS وترغب في مزامنته مع هوية Azure Active Directory، فستحتاج إلى إزالة ترخيص المستخدم في Microsoft 365 قبل إجراء التغييرات في AD DS.

راجع أيضا كيفية إعداد مجال غير قابل للتوجيه (مثل المجال المحلي. ) لمزامنة الدليل.

الخطوات التالية

بعد الانتهاء من 1 إلى 5 أعلاه، راجع إعداد مزامنة الدليل.